CrossCurve vấp phải mối đe dọa kiện tụng sau cuộc tấn công vào dịch vụ khai thác của cơ sở hạ tầng crosschain của nó

Dự án CrossCurve, trước đây gọi là EYWA, đã gặp phải một sự cố an ninh nghiêm trọng khi các hacker không rõ danh tính đã sử dụng dịch vụ tấn công hợp đồng thông minh để thực hiện một cuộc tấn công có mục tiêu vào cơ chế chuyển token giữa các chuỗi khối. Do bị xâm phạm với số tiền khoảng ba triệu đô la, nhóm dự án đã tuyên bố sẽ khởi kiện các bên liên quan và cung cấp cho họ 72 giờ để hoàn trả lại số tiền.

Các địa chỉ phát hiện và phản ứng ban đầu

Nhóm CrossCurve nhanh chóng xác định được mười địa chỉ Ethereum mà tài sản bị đánh cắp đã được chuyển đến ngay sau sự cố. Giám đốc điều hành Boris Povar giải thích rằng lỗ hổng trong giao thức chuyển giao đã bị lợi dụng để rút tiền trái phép của người dùng. Ở giai đoạn ban đầu, ban lãnh đạo dự án cho rằng các người nhận có thể không nhận thức được tính chất phạm pháp của số tiền nhận được. Tuy nhiên, cách tiếp cận thiện chí này dựa trên việc có thời hạn ba ngày để tự nguyện hoàn trả tài sản và thiết lập liên lạc trực tiếp với các bên liên quan.

Trong trường hợp không đạt được thỏa thuận, CrossCurve hứa sẽ nâng cấp vụ việc lên cấp độ hình sự, hợp tác với các sàn giao dịch tiền mã hóa để phong tỏa các tài sản bị xâm phạm, cũng như phối hợp quốc tế với các cơ quan thực thi pháp luật và các công ty phân tích blockchain.

Phạm vi thiệt hại phân bổ qua nhiều mạng lưới

Nền tảng phân tích Defimons, chuyên theo dõi an ninh blockchain và do công ty Decurity quản lý, đã phát hiện tổng thiệt hại tài chính khoảng 3 triệu đô la, phân bổ qua các mạng lưới blockchain khác nhau. Theo ước tính song song của công ty BlockSec, một trong những đơn vị hàng đầu về an ninh hệ thống phân tán, thiệt hại đã lên tới khoảng 2,76 triệu đô la.

Chi tiết cho thấy mạng Ethereum chịu thiệt hại lớn nhất với khoảng 1,3 triệu đô la, trong khi hệ thống Arbitrum thiệt hại khoảng 1,28 triệu đô la. Các mạng khác như Optimism, Base, Mantle, Kava, Frax, Celo và Blast cũng ghi nhận các khoản thiệt hại, cho thấy các vectơ tấn công đa dạng đã được sử dụng. Chính CrossCurve vẫn chưa công bố ước tính chính thức về tổng số tài sản bị thiệt hại, mà đã liên hệ qua kênh truyền thông Decrypt để các chuyên gia phân tích thêm.

Nguyên nhân kỹ thuật: xác thực không đủ và chuỗi tin cậy

Nhóm BlockSec giải thích cơ chế xâm phạm: vấn đề chính là hệ thống xác thực các tin nhắn liên mạng không đủ mạnh, khi các tin nhắn được truyền giữa các mạng blockchain khác nhau. Khi tin nhắn đến mạng đích, hệ thống phải xác minh tính xác thực của nó, nhưng trong trường hợp này, hợp đồng đã chấp nhận dữ liệu giả mạo như hợp lệ và thực thi các lệnh rút tiền.

Các nhà phân tích của BlockSec nhấn mạnh về lỗ hổng nghiêm trọng trong kiến trúc cầu nối crosschain: nhiều hệ thống dựa vào một lớp kiểm tra duy nhất. Nếu lớp này bị xâm phạm hoặc bị bỏ qua, toàn bộ chuỗi niềm tin sẽ đổ vỡ. Được Dadybaio, trưởng bộ phận nghiên cứu khoa học và phát triển chiến lược của dự án Unstoppable Wallet, giải thích trong cuộc trò chuyện với Decrypt, rằng vấn đề không nằm ở chính giao thức Axelar, mà ở hợp đồng tùy chỉnh ReceiverAxelar do CrossCurve tự phát triển để xử lý các tin nhắn liên mạng mà không đủ mức xác thực.

Các bài học lịch sử và hệ thống

Trong lịch sử đã ghi nhận các sự cố tương tự. Việc bị tấn công cầu Nomad năm 2022 đã cho thấy các lỗ hổng tương tự trong logic xác thực. Dadybaio nhấn mạnh rằng thách thức chính về an ninh của các hệ thống crosschain không nằm ở lớp truyền tải tin nhắn, mà ở việc đảm bảo xác thực đầy đủ trước khi thực hiện bất kỳ hành động nào. Các bộ nhận tùy chỉnh thường là điểm yếu nhất trong chuỗi bảo vệ.

Trong khi các cầu nối crosschain vẫn giữ lượng thanh khoản lớn và mỗi dự án tự phát triển logic xác thực riêng, các hệ thống này vẫn là mục tiêu ưu tiên của các cuộc tấn công xâm nhập và tấn công mục tiêu trong hệ sinh thái tài chính phi tập trung. Sự cố của CrossCurve là lời nhắc nhở rằng kiến trúc phức tạp của các giải pháp crosschain đòi hỏi không chỉ kiến thức kỹ thuật mà còn phải xem xét lại toàn diện các mô hình an ninh.